SlideShare ist ein Scribd-Unternehmen logo

Designing firewalls

Als PPTX, PDF herunterladen
Le Kim Hung
Le Kim Hung

Designing firewalls

Bildung
1 von 83
DESIGNING FIREWALLS Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng
I. Firewall Components II. Create a Firewall Policy III. Rule Sets Packet Filters IV. Proxy Server V. The Bastion Host VI. The Honeypot
I. Firewall Components  Tường lửa được tạo ra do nhu cầu về bảo mật và an ninh thông tin ngày càng tăng trước.  Tường lửa nằm tại vị trí giữa mạng nội bộ và mạng Wan.  Thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quả trị tạo ra và đăng ký trên thiết bị.
Firewall Components  Sơ đồ cơ bản về Firewall:
Firewall Components  Ngày nay trong một tường lửa còn cung cấp các dịch vụ sau:  NAT: được dùng bởi router để có thể dich một địa chỉ nội bộ thành một địa chỉ bên ngoài  Data Caching: tùy chọn này cho phép router lưu trử dữ liệu được cho phép bởi các người dùng mạng.
Firewall Components  Restriction on Content: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa.
Firewall Methodologies  Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là :  Packet filtering  Proxy servers (application gateway)
Packet filtering  Lọc gói tin là loại đầu tiên của tường lửa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router.  Chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin
Packet filtering  Ưu điểm: - Giá thành thấp, cấu hình đơn giản - Trong suốt(transparent) đối với user.  Hạn chế: - Dễ bị tấn công vào các bộ lọc. - Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,tất cả hệ thống trên mạng nội bộ có thể bị tấn công
Proxy servers (application- gateway)  Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin.  Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định trù từ trước.
Proxy servers (application- gateway)  Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ heade.  Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo.
What a Firewall Cannot Do  Vì thế nếu một tường lửa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn.  FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
What a Firewall Cannot Do  Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn  Tóm lại Firewall mang lại cho dữ liệu của chúng ta tính bảo mật, tính toàn vẹn và tính sẵn sàng.
Difficulty in securing the network by Firewall  Viruses: Tường lửa có thể phát hiện ra virus nhưng chúng ta vẫn cần một hệ thống diệt virus.  Employee misuse:Họ có thể quên địa chỉ mail hay chạy các chương trình không an toàn từ bạn bè.
Difficulty in securing the network by Firewall  Secondary connections: Người dùng có thể tạo ra một kết nối internet cho riêng minh. Những kết nối này không được bảo vệ bởi tường lửa  Social engineering:  Poor architecture:
Implementation Options for Firewalls Không có một loại tường lửa nào được coi là tiêu chuẩn bên trong một mạng. Có nhiều loại tường lửa được phát triển khác nhau gồm:  A Single Packet Filtering Device  A Multi-homed Device  A Screened Host  A Demilitarized Zone (DMZ)
A Single Packet Filtering Device  Hình mô tả dưới đây là một mạng được bảo vệ bởi 1 thiết bị được cấu hình như một bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin.
A Multi-homed Device  Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định:
A Multi-homed Device
A Screened Host  Một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin
A Screened Host
A Screened Host  Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (applicationlevel).  Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cảcác hệ thống ở bên ngoài chỉ có thể truy nhập bastion host
A Screened Host  Chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.  Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhậpđược từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi.
A Demilitarized Zone (DMZ)  Một mạng được chỉ định là một “zone” hay một miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả các người dùng bên trong.  Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và có thể có nhiều máy tồn tại bên trong đường biên giới.
A Demilitarized Zone (DMZ)
A Demilitarized Zone (DMZ)  Hệ thống bao gồm hai packet-filtering router và một bastion host.  Mạng DMZ đóngvai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ.  Các hệ thống trên Internet và mạng nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, vàsự truyền trực tiếp qua mạng DMZ là không thể được
A Demilitarized Zone (DMZ)  Hệ thốngchỉ cho phép bên ngoài truy nhập vào bastion host.  Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ vớinhững truyền thông bắt đầu từ bastion host
II. Create a Firewall Policy  Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa) . Để tránh trường hợp lựa chọn và cài đặt tường lửa không chính xác , hiệu quả .  Một tường lửa được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng tường lửa đó .
Hai quan điểm trong việc xây dựng tường lửa:  Từ chối tất cả , chỉ cho phép những lưu thông hợp lệ .  Cho phép tất cả , cấm những lưu thông không hợp lệ .
Một số thành phần trong chính xách bảo mật : • Acceptable Use Statement • Network Connection Statement • Contracted Worker Statement • Firewall Administrator Statement
Acceptable Use Statement  Các ứng dụng không được phép cài đặt .(Từ những nguồn như internet , CD , USB , đĩa mềm ).  Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức . (cho phép / không do tổ chức đó quyết định ).  Việc sử dụng tài khoản tại các máy tính , khi không có người sử dụng , máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu.  Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó . Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào.  Các dịch vụ email được phép sự dụng.
The Network Connection Statement  Chỉ quản trị viên mới có quyền thực hiện quét mạng .  Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server.  Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25 . Nhưng không thể truy cập NNTP trên mọi cổng.  Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại .  Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào .  Không được down load file lớn hơn 5Mb  Phần mềm Anti-virus phải được cài đặt , hoạt động tốt , cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server .  Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem)  Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào .
The Contracted Worker Statement  Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời .  Một số vấn đề cần chú ý là :  Không có những người sử dụng tạm thời , hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên , hay thực hiện quét mạng , copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác.  Không được sử dụng FTP , telnet , SSH cho khi chưa được sự cho phép dựa trên văn bản.
The Firewall Administrator Statement  Firewall administrator phải được chứng nhận bởi các nhà cung cấp firewall .  Phải có chứng chỉ SCNA  Phải nắm rõ các ứng dụng được cài đặt trên các máy tính trong mạng .  Phải báo cáo trực tiếp với trưởng bộ phận bảo mật .  Phải luôn trong tư thế sẵn sàng 24/24
Những vấn đề liệt kê ở đây sẽ có ích trong việc soạn ra chính sách cho firewall . Ngoài ra cách chính sách về Firewall cần phải được thay đổi thường xuyên cho phụ hợp với an ninh thế giới .
III . Packet Filtervà việc thiết lập tập các quy tắc trong Packet Filter
Tổng quan về Packet Filtering  Là kiểu firewall đầu tiên được sử dụng để bảo vệ mạng nội bộ.  Thường được cài đặt sẵn trên các router và thực thi dưới dạng access control list.  Sử dụng một tập các quy tắc để quyết định gói tin được phép qua hay không.  Chỉ kiểm tra phần header, không kiểm tra nội dung gói tin
Tổng quan về Packet Filtering  Chức năng khác nhau, tùy thuộc vào vị trí của Packet Filter trong hệ thống mạng.
Tổng quan về Packet Filtering
Tổng quan về Packet Filtering
Tổng quan về Packet Filtering
Các quy tắc trong Packet Filter Các vấn đề cần quan tâm  Mạng nội bộ được truy cập dịch vụ nào trên internet?  Internet được truy cập vào dịch vụ nào của mạng nội bộ?  Máy nào được quyền truy cập đặc biệt nào đó, mà máy khác không có?
Các quy tắc trong Packet Filter Các vấn đề cần quan tâm  Bộ luật được đặt tại interface nào?  Hướng của gói tin.  Địa chỉ IP  Số hiệu cổng (port)  Các giao thức tầng cao hơn.
Các quy tắc trong Packet Filter Port, Socket và ACK bit  Địa chỉ IP đại diện cho một máy trong phiên làm việc, port đại diện cho điểm đến thực sự của giao tiếp, tức ứng dụng cụ thể. Socket bao gồm một ip đi kèm với một port.  Port nhỏ hơn 1023 được sử dụng cho các ứng dụng phổ biến. Port lớn hơn 1023 được sử dụng cho host khi thực hiện kết nối.
Các quy tắc trong Packet Filter Port, Socket và ACK bit
Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc  Cho phép mạng nội bộ truy cập đến web pages trên internet và miền DMZ  Internet có thể truy cập đến dịch vụ web trên web server  Các dịch vụ khác không được phép truy cập ra internet.
Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc cho phép tất cả các kết nối từ bên ngoài vào mạng bên trong với port đích > 1023
Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc  Sử dụng thêm thông tin về port nguồn: • Sử dụng ACK flag
Các quy tắc trong Packet Filter Các yếu tố cần đảm bảo  Tính nhất quán: đảm bảo không có sự mâu thuẫn giữa các quy tắc với nhau.  Tính trọn vẹn: đảm bảo tập quy tắc đã liệt kê hết các trường hợp có thể xảy ra.  Tính súc tích: đảm bảo sự ngắn gọn và các quy tắc không trùng lấp nhau.
Phân loại Packet Filter  Stateless Packet Filter (Standard Packet Filter)  Stateful Packet Filter
Stateless Packet Filter  Là hình thức cơ bản nhất, được sử dụng rộng rãi.  Xử lý các gói tin một cách độc lập với nhau dựa vào thông tin trên header của các giao thức.  Không lưu lại bất kì thông tin nào về gói tin đã được xử lý.
Stateless Packet Filter  IP Address  TCP/UDP Port  Protocol Filter  Fragmentation
Stateless Packet Filter IP Address  Là thành phần cơ bản nhất.  Dựa vào địa chỉ IP nguồn và (hoặc) IP đích để ra quyết định xử lý một gói tin.  Thông thường được thiết kế mặc định cấm tất cả các gói tin, trừ những gói phù hợp với quy tắc.
Stateless Packet Filter TCP/UDP Port  Sử dụng port nguồn và port đích để xử lý một gói tin.  Thường được sử dụng để chỉ cho phép một số ứng dụng cụ thể đi qua Packet Filter, còn lại mặc định cấm.
Stateless Packet Filter Protocol Field  Kiểm tra nội dung của header để xác định giao thức được dùng ở tầng kế trên, từ đó cho phép gói tin đi qua hay không.  Một vài giao thức thường được kiểm tra: -TCP -UDP -ICMP -IGMP
Stateless Packet Filter Fragmentation  Sự phân mảnh xảy ra khi một gói tin đi từ mạng này qua mạng kia có đơn vị truyền tải tối đa (MTU) nhỏ hơn kích thước của gói tin.  Các phân mảnh có thể được chia nhỏ ra nữa nếu chúng phải đi qua những mạng có MTU nhỏ hơn kích thước của phân mảnh.
Stateless Packet Filter Fragmentation -Fragment ID: nhận biết gói tin gốc -Fragment offset: đánh dấu thứ tự -Fragment length: độ dài phân mảnh -More fragments flag: có phải mảnh cuối không
Stateless Packet Filter Fragmentation
Stateless Packet Filter Fragmentation  Packet Filter chỉ kiểm tra gói phân mảnh đầu tiên (offset = 0).  Những phân mảnh còn lại được cho qua. Attacker lợi dụng để “qua mặt” Packet Filter • Tiny fragment attack • Teardrop attack • Overlapping fragment attack
Stateless Packet Filter Fragmentation  Giải pháp -Thiết lập độ dài tối thiểu của fragment đầu tiên sao cho đảm bảo đầy đủ thông tin cần thiết để kiểm tra. -Cấm tất cả các gói tin phân mảnh. -Cấu hình buộc gói tin phải được ghép lại hoàn chỉnh trước khi truyền.
Stateless Packet Filter Ưu nhược điểm  Ưu điểm: -Dễ thực hiện  Nhược điểm: -Không kiểm tra được các thông tin ở tầng ứng dụng. -Mỗi gói tin đều phải được kiểm tra hết ACL, có thể tạo nên một nút cổ chai trong mạng.
Stateful Packet Filter  Cơ bản như Stateless Packet Filter, tuy nhiên nó không thực thi trên từng gói tin một cách độc lập với nhau, mà còn dựa vào trạng thái kết nối tại tầng Session để lọc các gói tin.  Thông tin về các kết nối được lưu tại bảng trạng thái (state table).
Stateful Packet Filter  Khi nhận được một gói tin, Stateful Packet Filter dò trong bảng trạng thái của mình: -Nếu tồn tại entry có thông tin trùng khớp với packet vừa nhận  cho qua. -Nếu không tìm thấy  lọc dựa vào bộ quy tắc. Nếu gói tin được cho phép, một entry miêu tả connection mà packet này thuộc về sẽ được ghi vào state table.
Stateful Packet Filter  Entry về kết nối trong state table bị xóa khi kết nối bị ngắt.  Trong trường hợp có khởi tạo kết nối (gói SYN được gởi đi) mà không được hồi đáp, sau một khoảng thời gian nhất định, entry cũng sẽ bị xóa khỏi state table. Thường khoảng vài phút.
Stateful Packet Filter
IV . Proxy Server Không có giao tiếp trực tiếp giữa client và server Không có giao tiếp trực tiếp giữa client và server
Tiến trình Proxy
Lợi ích Proxy Ẩn client ◦ Địa chỉ IP của client không bao giờ xuất hiện ra ngoài Internet Lọc nội dung ◦ Lọc những gì nhìn thấy Truy nhập đơn điểm ◦ Một điểm duy nhất để truy nhập dữ liệu
Các vấn đề Proxy Truy nhập đơn điểm thất bại ◦ Cần nhớ là phải bảo vệ proxy Một proxy cho mỗi dịch vụ ◦ các proxy server vẫn còn cấu hình an toàn Cấu hình mặc định ◦ dành thời gian để thực hiện các quy tắc và hạn chế
V. The Bastion Host  Bastion Host là một từ dùng để chỉ về một máy được được bảo vệ nhiều nhất trong hệ thống mạng, máy chủ này sử dụng mọi tùy chọn về an ninh tối đa của hệ thống mà nó có thể sử dụng
The Bastion Host  Thêm nữa các cấu hình sẽ di chuyển tất cả các dịch vụ cũng như các chương trinh không cần thiết cho máy chủ. Tất cả các tài khoảng người dùng để được loại bỏ, và cả những phần mềm quả lý máy chủ.
The Bastion Host
The Bastion Host  Đường đầu tiên được phòng thủ đó là đường tới router, kết nối giữa mạng và internet, được cấu hình thích hợp để lọc gói tin. Tiếp theo việc lọc các gói tin trên router sẽ là nơi đặt Bastion Host chạy máy chủ proxy.
The Bastion Host Các bước để cấu hình một Bastion host: ◦ Xóa bỏ các ứng dụng không dùng. ◦ Xóa bỏ các dịch vụ không dùng. ◦ Xóa bỏ các tài khoảng không dùng. ◦ Kích hoạt các chính sách.
The Bastion Host Các kỹ thuật khác để tạo ra một Bastion host: ◦ Cài đặt hệ điều hành từ đĩa trước. ◦ Loại bỏ các phần cứng ko dùng ◦ Sử dụng các phương pháp chứng thực mạnh mẽ ◦ Thực thi các chương trình kiểm tra file để tránh giả mạo
An Attack on the Bastion Host  Kể từ khi máy này cung cấp nhiều dich vụ trên mạng nó trở thành mục tiêu tấn công.  Khi phát hiện được một nguy cơ, bạn phải khám phá xa hơn để xác định được nguyên nhân.  Nếu trên Bastion Host tồn tại một nguy cơ bảo mật thì nó sẽ rất nguy hiểm nếu như máy này tồn tại trong mình DMZ hay trong mạng
An Attack on the Bastion Host  Cách khắc phục nếu bị tấn công là không phục lại hệ thống từ tập tin back-up, nó tồn tại một nguy cơ. Nếu không bạn có thể nhận ra ngày của những nguy cơ xảy ra.  Phương pháp tốt nhất là cài lại tự đầu Bastion Host, bắt đầu bằng việc format lại đĩa. Nó tốn nhiều thời gian nhưng đó là cách tốt nhất
VI . Honeypot Honeypot là gì? ◦ Máy tính được thiết kế để thu hút kẻ tấn công
Vị trí Honeypot
Mục tiêu của Honeypot  Giữ chân hacker khỏi tấn công sang các thiết bị khác ◦ hackers use all their energy getting into this system  Logging  Tăng khả năng phát hiện và ứng phó sự cố  Honeynets
Vấn đề pháp lý Lừa đảo Riêng tư

Empfohlen

Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip copTrần Văn Quyết
 
firewall
firewallfirewall
firewallKim Chan
 
Mạng Máy tính
Mạng Máy tínhMạng Máy tính
Mạng Máy tínhhung bonglau
 
Pf sense firewall
Pf sense firewallPf sense firewall
Pf sense firewallQuan Tâm
 
Thiết lập access rule trên TMG 2010
Thiết lập access rule trên TMG 2010Thiết lập access rule trên TMG 2010
Thiết lập access rule trên TMG 2010Phan Khanh Toan
 
Isas semina
Isas seminaIsas semina
Isas seminahoangt_ti22
 
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPTBài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPTMasterCode.vn
 
Mạng máy tính
Mạng máy tínhMạng máy tính
Mạng máy tínhMai Điệp
 

Empfohlen

Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip copTrần Văn Quyết
 
firewall
firewallfirewall
firewallKim Chan
 
Mạng Máy tính
Mạng Máy tínhMạng Máy tính
Mạng Máy tínhhung bonglau
 
Pf sense firewall
Pf sense firewallPf sense firewall
Pf sense firewallQuan Tâm
 
Thiết lập access rule trên TMG 2010
Thiết lập access rule trên TMG 2010Thiết lập access rule trên TMG 2010
Thiết lập access rule trên TMG 2010Phan Khanh Toan
 
Isas semina
Isas seminaIsas semina
Isas seminahoangt_ti22
 
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPTBài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPTMasterCode.vn
 
Mạng máy tính
Mạng máy tínhMạng máy tính
Mạng máy tínhMai Điệp
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSBui Loc
 
Anninhmang
AnninhmangAnninhmang
Anninhmangviethoa1
 
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPTBài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPTMasterCode.vn
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learningthanhnhamthai
 
Wire Less
Wire LessWire Less
Wire Lessleminhvuong
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snortanhkhoa2222
 
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngĐề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngDịch vụ viết bài trọn gói ZALO: 0909232620
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1Huy Bach
 
Báo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpBáo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpHoHoangKha
 
Ids
Ids Ids
Ids ducmanhkthd
 
Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comphanleson
 
Dacs snort
Dacs snortDacs snort
Dacs snortntphong2702
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSamTiki.vn
 
Isa2004
Isa2004Isa2004
Isa2004Informatics Institute of Technology
 
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPTChương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPTMasterCode.vn
 
Tim hieu mang rieng ao
Tim hieu mang rieng aoTim hieu mang rieng ao
Tim hieu mang rieng aoPhía Cuối Con Đường
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTMasterCode.vn
 
Mang vpn
Mang vpnMang vpn
Mang vpnantelope244
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnduytruyen1993
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITNguynMinh294
 
Phan1.3
Phan1.3Phan1.3
Phan1.3Hungsusi Ong
 

Weitere ähnliche Inhalte

Was ist angesagt?

He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSBui Loc
 
Anninhmang
AnninhmangAnninhmang
Anninhmangviethoa1
 
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPTBài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPTMasterCode.vn
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1Huy Bach
 
Báo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpBáo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpHoHoangKha
 
Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comphanleson
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSamTiki.vn
 
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPTChương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPTMasterCode.vn
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTMasterCode.vn
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnduytruyen1993
 

Was ist angesagt? (20)

He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDS
 
Anninhmang
AnninhmangAnninhmang
Anninhmang
 
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPTBài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learning
 
Wire Less
Wire LessWire Less
Wire Less
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snort
 
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngĐề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1
 
Báo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpBáo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt Nghiệp
 
Ids
Ids Ids
Ids
 
Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.com
 
Dacs snort
Dacs snortDacs snort
Dacs snort
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSam
 
Isa2004
Isa2004Isa2004
Isa2004
 
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPTChương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
Chương 7 Các ứng dụng trong mạng máy tính - Giáo trình FPT
 
Tim hieu mang rieng ao
Tim hieu mang rieng aoTim hieu mang rieng ao
Tim hieu mang rieng ao
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPT
 
Mang vpn
Mang vpnMang vpn
Mang vpn
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpn
 

Ähnlich wie Designing firewalls

Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITNguynMinh294
 
tường lửa full.doc
tường lửa full.doctường lửa full.doc
tường lửa full.docPhcNguynHu22
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athenaHuy Bach
 
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...laonap166
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
BÀI GIẢNG An ninh mạng máy tính.pdf
BÀI GIẢNG An ninh mạng máy tính.pdfBÀI GIẢNG An ninh mạng máy tính.pdf
BÀI GIẢNG An ninh mạng máy tính.pdfNuioKila
 
Quy định quản lý an toàn thông tin người dùng cuối
Quy định quản lý an toàn thông tin người dùng cuốiQuy định quản lý an toàn thông tin người dùng cuối
Quy định quản lý an toàn thông tin người dùng cuốiMaiHongBigTiger
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnpeterh18
 
Báo Cáo Lần 1.pptx
Báo Cáo Lần 1.pptxBáo Cáo Lần 1.pptx
Báo Cáo Lần 1.pptxHiuNguynMinh76
 
Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006xeroxk
 
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...GiangTran818700
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng caossuserd16c49
 
Giaoan Atbm
Giaoan AtbmGiaoan Atbm
Giaoan Atbmdong
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfNuioKila
 

Ähnlich wie Designing firewalls (20)

Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTIT
 
Phan1.3
Phan1.3Phan1.3
Phan1.3
 
3d. Firewall.pptx
3d. Firewall.pptx3d. Firewall.pptx
3d. Firewall.pptx
 
tường lửa full.doc
tường lửa full.doctường lửa full.doc
tường lửa full.doc
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athena
 
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...
Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng th...
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
BÀI GIẢNG An ninh mạng máy tính.pdf
BÀI GIẢNG An ninh mạng máy tính.pdfBÀI GIẢNG An ninh mạng máy tính.pdf
BÀI GIẢNG An ninh mạng máy tính.pdf
 
Quy định quản lý an toàn thông tin người dùng cuối
Quy định quản lý an toàn thông tin người dùng cuốiQuy định quản lý an toàn thông tin người dùng cuối
Quy định quản lý an toàn thông tin người dùng cuối
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
 
Báo Cáo Lần 1.pptx
Báo Cáo Lần 1.pptxBáo Cáo Lần 1.pptx
Báo Cáo Lần 1.pptx
 
Mang vpn
Mang vpnMang vpn
Mang vpn
 
Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006
 
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...
slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-surica...
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng cao
 
Giaoan Atbm
Giaoan AtbmGiaoan Atbm
Giaoan Atbm
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chuc
 
Ch20
Ch20Ch20
Ch20
 

Kürzlich hochgeladen

30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...Nguyen Thanh Tu Collection
 
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdf
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdfxemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdf
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdfXem Số Mệnh
 
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgs
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgspowerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgs
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgsNmmeomeo
 
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...Nguyen Thanh Tu Collection
 
Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoáCác điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoámyvh40253
 
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...Nguyen Thanh Tu Collection
 
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptx
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptxBài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptx
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptxDungxPeach
 
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfCampbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfTrnHoa46
 
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘIĐiện Lạnh Bách Khoa Hà Nội
 
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...Nguyen Thanh Tu Collection
 
bài tập lớn môn kiến trúc máy tính và hệ điều hành
bài tập lớn môn kiến trúc máy tính và hệ điều hànhbài tập lớn môn kiến trúc máy tính và hệ điều hành
bài tập lớn môn kiến trúc máy tính và hệ điều hànhdangdinhkien2k4
 
bài thi bảo vệ nền tảng tư tưởng của Đảng.docx
bài thi bảo vệ nền tảng tư tưởng của Đảng.docxbài thi bảo vệ nền tảng tư tưởng của Đảng.docx
bài thi bảo vệ nền tảng tư tưởng của Đảng.docxTrnHiYn5
 
Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................TrnHoa46
 
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...Nguyen Thanh Tu Collection
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...Nguyen Thanh Tu Collection
 
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...ChuThNgnFEFPLHN
 
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdf
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdfSLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdf
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdfhoangtuansinh1
 
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hội
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hộiTrắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hội
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hộiNgocNguyen591215
 
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-KhnhHuyn546843
 

Kürzlich hochgeladen (20)

30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
 
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdf
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdfxemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdf
xemsomenh.com-Vòng Thái Tuế và Ý Nghĩa Các Sao Tại Cung Mệnh.pdf
 
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgs
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgspowerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgs
powerpoint mẫu họp phụ huynh cuối kì 2 học sinh lớp 7 bgs
 
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...
TUYỂN TẬP 50 ĐỀ LUYỆN THI TUYỂN SINH LỚP 10 THPT MÔN TOÁN NĂM 2024 CÓ LỜI GIẢ...
 
Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoáCác điều kiện bảo hiểm trong bảo hiểm hàng hoá
Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
 
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...
ĐỀ CHÍNH THỨC KỲ THI TUYỂN SINH VÀO LỚP 10 THPT CÁC TỈNH THÀNH NĂM HỌC 2020 –...
 
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptx
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptxBài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptx
Bài tập nhóm Kỹ Năng Gỉai Quyết Tranh Chấp Lao Động (1).pptx
 
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdfCampbell _2011_ - Sinh học - Tế bào - Ref.pdf
Campbell _2011_ - Sinh học - Tế bào - Ref.pdf
 
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
 
1 - MÃ LỖI SỬA CHỮA BOARD MẠCH BẾP TỪ.pdf
1 - MÃ LỖI SỬA CHỮA BOARD MẠCH BẾP TỪ.pdf1 - MÃ LỖI SỬA CHỮA BOARD MẠCH BẾP TỪ.pdf
1 - MÃ LỖI SỬA CHỮA BOARD MẠCH BẾP TỪ.pdf
 
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...
TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI KỸ NĂNG VIẾT ĐOẠN VĂN NGHỊ LUẬN XÃ HỘI 200 C...
 
bài tập lớn môn kiến trúc máy tính và hệ điều hành
bài tập lớn môn kiến trúc máy tính và hệ điều hànhbài tập lớn môn kiến trúc máy tính và hệ điều hành
bài tập lớn môn kiến trúc máy tính và hệ điều hành
 
bài thi bảo vệ nền tảng tư tưởng của Đảng.docx
bài thi bảo vệ nền tảng tư tưởng của Đảng.docxbài thi bảo vệ nền tảng tư tưởng của Đảng.docx
bài thi bảo vệ nền tảng tư tưởng của Đảng.docx
 
Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................Đề cương môn giải phẫu......................
Đề cương môn giải phẫu......................
 
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
SÁNG KIẾN ÁP DỤNG CLT (COMMUNICATIVE LANGUAGE TEACHING) VÀO QUÁ TRÌNH DẠY - H...
 
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
30 ĐỀ PHÁT TRIỂN THEO CẤU TRÚC ĐỀ MINH HỌA BGD NGÀY 22-3-2024 KỲ THI TỐT NGHI...
 
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...
SD-05_Xây dựng website bán váy Lolita Alice - Phùng Thị Thúy Hiền PH 2 7 8 6 ...
 
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdf
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdfSLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdf
SLIDE - Tu van, huong dan cong tac tuyen sinh-2024 (đầy đủ chi tiết).pdf
 
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hội
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hộiTrắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hội
Trắc nghiệm CHƯƠNG 5 môn Chủ nghĩa xã hội
 
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
cac-cau-noi-tthcm.pdf-cac-cau-noi-tthcm-
 

Designing firewalls

  • 1. DESIGNING FIREWALLS Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng
  • 2. I. Firewall Components II. Create a Firewall Policy III. Rule Sets Packet Filters IV. Proxy Server V. The Bastion Host VI. The Honeypot
  • 3. I. Firewall Components  Tường lửa được tạo ra do nhu cầu về bảo mật và an ninh thông tin ngày càng tăng trước.  Tường lửa nằm tại vị trí giữa mạng nội bộ và mạng Wan.  Thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quả trị tạo ra và đăng ký trên thiết bị.
  • 4. Firewall Components  Sơ đồ cơ bản về Firewall:
  • 5. Firewall Components  Ngày nay trong một tường lửa còn cung cấp các dịch vụ sau:  NAT: được dùng bởi router để có thể dich một địa chỉ nội bộ thành một địa chỉ bên ngoài  Data Caching: tùy chọn này cho phép router lưu trử dữ liệu được cho phép bởi các người dùng mạng.
  • 6. Firewall Components  Restriction on Content: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa.
  • 7. Firewall Methodologies  Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là :  Packet filtering  Proxy servers (application gateway)
  • 8. Packet filtering  Lọc gói tin là loại đầu tiên của tường lửa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router.  Chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin
  • 9. Packet filtering  Ưu điểm: - Giá thành thấp, cấu hình đơn giản - Trong suốt(transparent) đối với user.  Hạn chế: - Dễ bị tấn công vào các bộ lọc. - Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,tất cả hệ thống trên mạng nội bộ có thể bị tấn công
  • 10. Proxy servers (application- gateway)  Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin.  Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định trù từ trước.
  • 11. Proxy servers (application- gateway)  Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ heade.  Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo.
  • 12. What a Firewall Cannot Do  Vì thế nếu một tường lửa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn.  FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
  • 13. What a Firewall Cannot Do  Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn  Tóm lại Firewall mang lại cho dữ liệu của chúng ta tính bảo mật, tính toàn vẹn và tính sẵn sàng.
  • 14. Difficulty in securing the network by Firewall  Viruses: Tường lửa có thể phát hiện ra virus nhưng chúng ta vẫn cần một hệ thống diệt virus.  Employee misuse:Họ có thể quên địa chỉ mail hay chạy các chương trình không an toàn từ bạn bè.
  • 15. Difficulty in securing the network by Firewall  Secondary connections: Người dùng có thể tạo ra một kết nối internet cho riêng minh. Những kết nối này không được bảo vệ bởi tường lửa  Social engineering:  Poor architecture:
  • 16. Implementation Options for Firewalls Không có một loại tường lửa nào được coi là tiêu chuẩn bên trong một mạng. Có nhiều loại tường lửa được phát triển khác nhau gồm:  A Single Packet Filtering Device  A Multi-homed Device  A Screened Host  A Demilitarized Zone (DMZ)
  • 17. A Single Packet Filtering Device  Hình mô tả dưới đây là một mạng được bảo vệ bởi 1 thiết bị được cấu hình như một bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin.
  • 18. A Multi-homed Device  Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định:
  • 20. A Screened Host  Một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin
  • 22. A Screened Host  Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (applicationlevel).  Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cảcác hệ thống ở bên ngoài chỉ có thể truy nhập bastion host
  • 23. A Screened Host  Chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.  Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhậpđược từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi.
  • 24. A Demilitarized Zone (DMZ)  Một mạng được chỉ định là một “zone” hay một miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả các người dùng bên trong.  Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và có thể có nhiều máy tồn tại bên trong đường biên giới.
  • 26. A Demilitarized Zone (DMZ)  Hệ thống bao gồm hai packet-filtering router và một bastion host.  Mạng DMZ đóngvai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ.  Các hệ thống trên Internet và mạng nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, vàsự truyền trực tiếp qua mạng DMZ là không thể được
  • 27. A Demilitarized Zone (DMZ)  Hệ thốngchỉ cho phép bên ngoài truy nhập vào bastion host.  Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ vớinhững truyền thông bắt đầu từ bastion host
  • 28. II. Create a Firewall Policy  Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa) . Để tránh trường hợp lựa chọn và cài đặt tường lửa không chính xác , hiệu quả .  Một tường lửa được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng tường lửa đó .
  • 29. Hai quan điểm trong việc xây dựng tường lửa:  Từ chối tất cả , chỉ cho phép những lưu thông hợp lệ .  Cho phép tất cả , cấm những lưu thông không hợp lệ .
  • 30. Một số thành phần trong chính xách bảo mật : • Acceptable Use Statement • Network Connection Statement • Contracted Worker Statement • Firewall Administrator Statement
  • 31. Acceptable Use Statement  Các ứng dụng không được phép cài đặt .(Từ những nguồn như internet , CD , USB , đĩa mềm ).  Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức . (cho phép / không do tổ chức đó quyết định ).  Việc sử dụng tài khoản tại các máy tính , khi không có người sử dụng , máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu.  Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó . Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào.  Các dịch vụ email được phép sự dụng.
  • 32. The Network Connection Statement  Chỉ quản trị viên mới có quyền thực hiện quét mạng .  Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server.  Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25 . Nhưng không thể truy cập NNTP trên mọi cổng.  Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại .  Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào .  Không được down load file lớn hơn 5Mb  Phần mềm Anti-virus phải được cài đặt , hoạt động tốt , cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server .  Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem)  Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào .
  • 33. The Contracted Worker Statement  Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời .  Một số vấn đề cần chú ý là :  Không có những người sử dụng tạm thời , hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên , hay thực hiện quét mạng , copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác.  Không được sử dụng FTP , telnet , SSH cho khi chưa được sự cho phép dựa trên văn bản.
  • 34. The Firewall Administrator Statement  Firewall administrator phải được chứng nhận bởi các nhà cung cấp firewall .  Phải có chứng chỉ SCNA  Phải nắm rõ các ứng dụng được cài đặt trên các máy tính trong mạng .  Phải báo cáo trực tiếp với trưởng bộ phận bảo mật .  Phải luôn trong tư thế sẵn sàng 24/24
  • 35. Những vấn đề liệt kê ở đây sẽ có ích trong việc soạn ra chính sách cho firewall . Ngoài ra cách chính sách về Firewall cần phải được thay đổi thường xuyên cho phụ hợp với an ninh thế giới .
  • 36.
  • 37. III . Packet Filtervà việc thiết lập tập các quy tắc trong Packet Filter
  • 38. Tổng quan về Packet Filtering  Là kiểu firewall đầu tiên được sử dụng để bảo vệ mạng nội bộ.  Thường được cài đặt sẵn trên các router và thực thi dưới dạng access control list.  Sử dụng một tập các quy tắc để quyết định gói tin được phép qua hay không.  Chỉ kiểm tra phần header, không kiểm tra nội dung gói tin
  • 39. Tổng quan về Packet Filtering  Chức năng khác nhau, tùy thuộc vào vị trí của Packet Filter trong hệ thống mạng.
  • 40. Tổng quan về Packet Filtering
  • 41. Tổng quan về Packet Filtering
  • 42. Tổng quan về Packet Filtering
  • 43. Các quy tắc trong Packet Filter Các vấn đề cần quan tâm  Mạng nội bộ được truy cập dịch vụ nào trên internet?  Internet được truy cập vào dịch vụ nào của mạng nội bộ?  Máy nào được quyền truy cập đặc biệt nào đó, mà máy khác không có?
  • 44. Các quy tắc trong Packet Filter Các vấn đề cần quan tâm  Bộ luật được đặt tại interface nào?  Hướng của gói tin.  Địa chỉ IP  Số hiệu cổng (port)  Các giao thức tầng cao hơn.
  • 45. Các quy tắc trong Packet Filter Port, Socket và ACK bit  Địa chỉ IP đại diện cho một máy trong phiên làm việc, port đại diện cho điểm đến thực sự của giao tiếp, tức ứng dụng cụ thể. Socket bao gồm một ip đi kèm với một port.  Port nhỏ hơn 1023 được sử dụng cho các ứng dụng phổ biến. Port lớn hơn 1023 được sử dụng cho host khi thực hiện kết nối.
  • 46. Các quy tắc trong Packet Filter Port, Socket và ACK bit
  • 47. Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc  Cho phép mạng nội bộ truy cập đến web pages trên internet và miền DMZ  Internet có thể truy cập đến dịch vụ web trên web server  Các dịch vụ khác không được phép truy cập ra internet.
  • 48. Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc cho phép tất cả các kết nối từ bên ngoài vào mạng bên trong với port đích > 1023
  • 49. Các quy tắc trong Packet Filter Ví dụ về một tập quy tắc  Sử dụng thêm thông tin về port nguồn: • Sử dụng ACK flag
  • 50. Các quy tắc trong Packet Filter Các yếu tố cần đảm bảo  Tính nhất quán: đảm bảo không có sự mâu thuẫn giữa các quy tắc với nhau.  Tính trọn vẹn: đảm bảo tập quy tắc đã liệt kê hết các trường hợp có thể xảy ra.  Tính súc tích: đảm bảo sự ngắn gọn và các quy tắc không trùng lấp nhau.
  • 51. Phân loại Packet Filter  Stateless Packet Filter (Standard Packet Filter)  Stateful Packet Filter
  • 52. Stateless Packet Filter  Là hình thức cơ bản nhất, được sử dụng rộng rãi.  Xử lý các gói tin một cách độc lập với nhau dựa vào thông tin trên header của các giao thức.  Không lưu lại bất kì thông tin nào về gói tin đã được xử lý.
  • 53. Stateless Packet Filter  IP Address  TCP/UDP Port  Protocol Filter  Fragmentation
  • 54. Stateless Packet Filter IP Address  Là thành phần cơ bản nhất.  Dựa vào địa chỉ IP nguồn và (hoặc) IP đích để ra quyết định xử lý một gói tin.  Thông thường được thiết kế mặc định cấm tất cả các gói tin, trừ những gói phù hợp với quy tắc.
  • 55. Stateless Packet Filter TCP/UDP Port  Sử dụng port nguồn và port đích để xử lý một gói tin.  Thường được sử dụng để chỉ cho phép một số ứng dụng cụ thể đi qua Packet Filter, còn lại mặc định cấm.
  • 56. Stateless Packet Filter Protocol Field  Kiểm tra nội dung của header để xác định giao thức được dùng ở tầng kế trên, từ đó cho phép gói tin đi qua hay không.  Một vài giao thức thường được kiểm tra: -TCP -UDP -ICMP -IGMP
  • 57. Stateless Packet Filter Fragmentation  Sự phân mảnh xảy ra khi một gói tin đi từ mạng này qua mạng kia có đơn vị truyền tải tối đa (MTU) nhỏ hơn kích thước của gói tin.  Các phân mảnh có thể được chia nhỏ ra nữa nếu chúng phải đi qua những mạng có MTU nhỏ hơn kích thước của phân mảnh.
  • 58. Stateless Packet Filter Fragmentation -Fragment ID: nhận biết gói tin gốc -Fragment offset: đánh dấu thứ tự -Fragment length: độ dài phân mảnh -More fragments flag: có phải mảnh cuối không
  • 60. Stateless Packet Filter Fragmentation  Packet Filter chỉ kiểm tra gói phân mảnh đầu tiên (offset = 0).  Những phân mảnh còn lại được cho qua. Attacker lợi dụng để “qua mặt” Packet Filter • Tiny fragment attack • Teardrop attack • Overlapping fragment attack
  • 61. Stateless Packet Filter Fragmentation  Giải pháp -Thiết lập độ dài tối thiểu của fragment đầu tiên sao cho đảm bảo đầy đủ thông tin cần thiết để kiểm tra. -Cấm tất cả các gói tin phân mảnh. -Cấu hình buộc gói tin phải được ghép lại hoàn chỉnh trước khi truyền.
  • 62. Stateless Packet Filter Ưu nhược điểm  Ưu điểm: -Dễ thực hiện  Nhược điểm: -Không kiểm tra được các thông tin ở tầng ứng dụng. -Mỗi gói tin đều phải được kiểm tra hết ACL, có thể tạo nên một nút cổ chai trong mạng.
  • 63. Stateful Packet Filter  Cơ bản như Stateless Packet Filter, tuy nhiên nó không thực thi trên từng gói tin một cách độc lập với nhau, mà còn dựa vào trạng thái kết nối tại tầng Session để lọc các gói tin.  Thông tin về các kết nối được lưu tại bảng trạng thái (state table).
  • 64. Stateful Packet Filter  Khi nhận được một gói tin, Stateful Packet Filter dò trong bảng trạng thái của mình: -Nếu tồn tại entry có thông tin trùng khớp với packet vừa nhận  cho qua. -Nếu không tìm thấy  lọc dựa vào bộ quy tắc. Nếu gói tin được cho phép, một entry miêu tả connection mà packet này thuộc về sẽ được ghi vào state table.
  • 65. Stateful Packet Filter  Entry về kết nối trong state table bị xóa khi kết nối bị ngắt.  Trong trường hợp có khởi tạo kết nối (gói SYN được gởi đi) mà không được hồi đáp, sau một khoảng thời gian nhất định, entry cũng sẽ bị xóa khỏi state table. Thường khoảng vài phút.
  • 67.
  • 68. IV . Proxy Server Không có giao tiếp trực tiếp giữa client và server Không có giao tiếp trực tiếp giữa client và server
  • 70. Lợi ích Proxy Ẩn client ◦ Địa chỉ IP của client không bao giờ xuất hiện ra ngoài Internet Lọc nội dung ◦ Lọc những gì nhìn thấy Truy nhập đơn điểm ◦ Một điểm duy nhất để truy nhập dữ liệu
  • 71. Các vấn đề Proxy Truy nhập đơn điểm thất bại ◦ Cần nhớ là phải bảo vệ proxy Một proxy cho mỗi dịch vụ ◦ các proxy server vẫn còn cấu hình an toàn Cấu hình mặc định ◦ dành thời gian để thực hiện các quy tắc và hạn chế
  • 72. V. The Bastion Host  Bastion Host là một từ dùng để chỉ về một máy được được bảo vệ nhiều nhất trong hệ thống mạng, máy chủ này sử dụng mọi tùy chọn về an ninh tối đa của hệ thống mà nó có thể sử dụng
  • 73. The Bastion Host  Thêm nữa các cấu hình sẽ di chuyển tất cả các dịch vụ cũng như các chương trinh không cần thiết cho máy chủ. Tất cả các tài khoảng người dùng để được loại bỏ, và cả những phần mềm quả lý máy chủ.
  • 75. The Bastion Host  Đường đầu tiên được phòng thủ đó là đường tới router, kết nối giữa mạng và internet, được cấu hình thích hợp để lọc gói tin. Tiếp theo việc lọc các gói tin trên router sẽ là nơi đặt Bastion Host chạy máy chủ proxy.
  • 76. The Bastion Host Các bước để cấu hình một Bastion host: ◦ Xóa bỏ các ứng dụng không dùng. ◦ Xóa bỏ các dịch vụ không dùng. ◦ Xóa bỏ các tài khoảng không dùng. ◦ Kích hoạt các chính sách.
  • 77. The Bastion Host Các kỹ thuật khác để tạo ra một Bastion host: ◦ Cài đặt hệ điều hành từ đĩa trước. ◦ Loại bỏ các phần cứng ko dùng ◦ Sử dụng các phương pháp chứng thực mạnh mẽ ◦ Thực thi các chương trình kiểm tra file để tránh giả mạo
  • 78. An Attack on the Bastion Host  Kể từ khi máy này cung cấp nhiều dich vụ trên mạng nó trở thành mục tiêu tấn công.  Khi phát hiện được một nguy cơ, bạn phải khám phá xa hơn để xác định được nguyên nhân.  Nếu trên Bastion Host tồn tại một nguy cơ bảo mật thì nó sẽ rất nguy hiểm nếu như máy này tồn tại trong mình DMZ hay trong mạng
  • 79. An Attack on the Bastion Host  Cách khắc phục nếu bị tấn công là không phục lại hệ thống từ tập tin back-up, nó tồn tại một nguy cơ. Nếu không bạn có thể nhận ra ngày của những nguy cơ xảy ra.  Phương pháp tốt nhất là cài lại tự đầu Bastion Host, bắt đầu bằng việc format lại đĩa. Nó tốn nhiều thời gian nhưng đó là cách tốt nhất
  • 80. VI . Honeypot Honeypot là gì? ◦ Máy tính được thiết kế để thu hút kẻ tấn công
  • 82. Mục tiêu của Honeypot  Giữ chân hacker khỏi tấn công sang các thiết bị khác ◦ hackers use all their energy getting into this system  Logging  Tăng khả năng phát hiện và ứng phó sự cố  Honeynets
  • 83. Vấn đề pháp lý Lừa đảo Riêng tư